首页  /  易于网络安全恶意软件安全  /  “蜂蜜陷阱”行动:APT36瞄准印度国防组织
易于先驱者正在使用蜂蜜陷阱来攻击印度国防。

“蜂蜜陷阱”行动:APT36瞄准印度国防组织

撰写者
卡尔佩什·曼特里
易于, 网络安全, 恶意软件, 安全
预计阅读时间: 4 分钟

概要

在过去的三个月中,我们注意到与巴基斯坦有联系的网络威胁演员APT36的活动有所增加。这次的目标是属于国防组织的人员&印度的其他政府组织。

在最近的攻击浪潮中,APT36使用蜂蜜诱集技术引诱目标。 “蜂蜜陷阱”操作使用诱人的女性虚假个人资料诱使目标对象打开电子邮件或通过消息传递平台聊天,最终导致他们下载恶意软件。

我们在当前主题攻击中找到的一些附件名称:

当目标打开此类附件时,它将丢弃基于MSIL的Crimson RAT,后者在APT36过去的许多攻击中已使用。此RAT用于数据窃取活动并将其发送到CnC服务器。

“蜂蜜陷阱”行动

印度陆军曾描述‘honey trap’敌人跨境发动了混合战斗的武器。 易于36现在使用相同的主题吸引目标。

图片:新闻源显示“蜂蜜陷阱”案例的使用
图片:新闻提要显示了“蜂蜜陷阱”案件的使用

广告活动概述

该运动继续使用两个独立的感染链。在过去的几年中,APT36的这两种感染技术一直保持不变。

在第一个链中,鱼叉式网络钓鱼电子邮件具有一个加载宏的文档作为附件。本文档负责执行一个dropper模块,该模块启动Crimson RAT工具来执行恶意活动。

图片:感染链–场景1
图片:感染链–场景1

在第二个链中,鱼叉式网络钓鱼电子邮件附件直接在zip文件中包含一个dropper模块。该滴管组件为受害者打开诱饵文档,并在后台运行Crimson RAT工具以执行恶意活动。

图片:感染链–场景2
图片:感染链–场景2

第二条感染链在组织中并不那么成功,因为其防火墙通常会阻止电子邮件中的“ EXE”文件类型。这是主要原因,它针对的是与印度国防部门有关的个人的个人账户。

绯红色老鼠

绯红色RAT仍然是APT36小组中受欢迎的武器库。我们上个月发布了另一次APT36攻击的详细信息;恶意软件的工作原理保持不变。

//www.james-blunt.net/resources/transparent-tribe-targetting-critical-indian-organizations

该RAT的摘要行为-

  • 处理:
    • 列出流程
    • 杀死过程
    • 执行命令
  • 文件:
    • 驱动器,文件和目录遍历
    • 删除文件
    • 执行文件
    • 搜索文件扩展名
    • 元数据提取
  • 拍摄画面:
    • 单个和连续屏幕截图
    • 获取缩略图,屏幕尺寸
  • 数据渗漏:
    • 从C2下载
    • 上载到C2

这里显示的是深红色RAT代码中的一些功能实现:

图片:列出所有正在运行的进程的功能
图片:列出所有正在运行的进程的功能
图片:用于检查并在注册表中添加启动项的功能
图片:用于检查并在注册表中添加启动项的功能
图片:搜索给定扩展名文件的功能
图片:搜索给定扩展名文件的功能
图像:捕获屏幕尺寸的功能。
图像:捕获屏幕截图的功能。

 

结论

众所周知,APT36是针对国防和其他关键部门的组织。通常,他们的目标是对印度西部邻国具有战略意义的个人和组织。但是,在这次运动中,有趣的是,某些目标实体属于印度东部各州的组织!在过去的一年中,这是我们第二次看到APT36针对印度东部邻国感兴趣的组织

 

与Honeytrap活动相关的IOC:

03E499D6E15817F5C7EF0F4F2FFD6D27

0FD5FD92A6D8467A892C889B7DE49FC2

11C594AF9B478A1EC688E874BCF61FE9

2B22AC62E5843F22F4A51149ADE2D6D1

3709CE3826A3AEBA20341ED2EF38259F

3952EBEDF24716728B7355B8BE8E71B6

467B10934E97D66E738E56501C22D1C4

46B9FA19A52D0E83B63280547630BB33

485F08EE7F741219BC1F2438319A33E4

4B7D87FFA7D243A32D6D516583B04B8A

4C0E752600746B6D67CF1D49C103D64A

4DC350105A7879E14780B0A353816BC5

5111974611588AFFE86C99EB9897FE02

589729BC673FE05A2F3B4C85797E2CE6

60BC356B4C88431353756B9496CF8F55

6368B4E339D04B30DA20AF70C67EC743

6801133F37481D8D865E984766E49D34

6B2931A1E68E8C9B02B815DC8065B4F8

6C11F92F6646E696724DE47D41ADC9F0

6DAA8DB3ED3661F9BC708E9B3E5F5C3C

8B22B21F258207F6B2C71483EAFF8CA6

8D34A25D139F836FD36BBEB869A6BD3F

 92A16E790F69E68C393B3BEEA15E14AA

94C00B72C37D5EB00E6B200AA71295C7

9C9A6005C14D4EDFF392EE174E3A6964

A15602E81A2E9860463F83ED66E7FFFD

A22DBB859B380E375DF17D0751E407F5

A7C8DD395CD707794A8BFFE9C06A6344

A93F9E7325567A01357C565F2875C02F

B6E5D3B7F74B99CB039B8226AAFE6E08

C0C2BCA1B2668D10D0B26E0F6DB34A64

C32E6BC20F46CF0EB6E3608F35651195

C9895D76ACE01B7A1DB407B18059B785

CBFAE579A25DF1E2FE0E02934EFD65DC

D504CAB93AB055267BDD7693BFCFED5B

D9CE6D2F89AFADD13D42CAC313C91582

E670F157F988FA13317CD878DEB55697

E89E1D0CDB0C0653744E5D12B6262F07

E8AA25A0D8A95E43712765FEFAC3C068

EA371D9282AB9C2A7274C5C8ACA9A64A

F0C1AEA58025973D254FF9FD08599E65

F70B3DA6C795B544FAC4F90AE4B45BA2

FE74761CE3EEDB20FF50FEFE9C2D49EF

FF2F32C78688AEC15C1283B1E625E72A
主题专家:
帕万库玛(Pavankumar Chaudhari)
卡尔佩什·曼特里

 

卡尔佩什·曼特里
关于卡尔佩什曼特里

卡尔佩什·曼特里目前在Quick Heal Labs担任首席安全研究员。他目前正在研究APT和遥测。

卡尔佩什·曼特里(Kalpesh Mantri)的相关文章»

相关文章

没意见

发表评论。您的电子邮件地址将不会被发布。

验证码图片